horaria
Vale, ya se que esto lo sabra hacer cualquiera, pero creo que no esta de mas… Seguro que hay alguno al que le
viene bien.
No voy a explicar mucho por eso mismo.
Lo unico que tenemos que saber es que, como acabamos de insalar “Windows Server 2008″, si no le hemos
desmarcado la opcion “do not show this windows at logon”, nos continuara abriendo la ventana de “Initial
Configuration Tools” en la que disponemos de una serie de accesos rapidos para realizar las tareas de
configuracion iniciales en un mismo sitio.
Ya sabreis que hablo de la captura que teneis a continuación.
Bueno, para realizar la tarea que nos ocupa, seleccionaremos “Set time zone” dentro del primer apartado
(Provide computer information).
A continuacion veis el aspecto de la pantalla “Date and Time” e la que disponemos de tres pestañas. Nosotros,
de momento, solo utilizaremos la primera “date and time”.
Pulsando el segundo boton “Change time zone” establezeremos la zona horaria en la que nos encontramos.
Seleccionamos el menu desplegable para que nos muestre las diferentes opciones disponibles:
Escogemos la nuestra:
Y ya lo tenemos.
En el primer boton “change date and time” podemos seleccionar la fecha y hora.
Saber simplemente que podemos seleccionar otros relojes adicionales. Esto se hace a traves de la segunda
pestaña “Additional Clocks”.
Las posibilidades que tenemos son cambiar el nombre del servidor y/o nombre del grupo de trabajo o dominio, si
es que queremos meterlo en un dominio.
En mi caso, lo que voy a hacer es simplemente cambiarle el nombre al servidor, ya que de momento no tengo
ningun dominio al que meterle.
Yo le voy a poner “SERVER01“. Cada uno como mejor le parezca, pero para seguir los articulos de esta serie
(Windows Server 2008), es mejor ponerle los mismos nombres para que luego no haya confusiones.
Tipico aviso de que debemos reiniciar para que los cambios tengan efecto.
Windows Server 2008 – Configuracion de red
Continuando con los articulos relacionados con Windows Server 2008, seguimos configurando las opciones
basicas de nuestro nuevo servidor, en este caso vamos a hacer lo propio con la configuracion de red.
Para ello, volvemos a utilizar “Initial Configuration Tasks” y en este caso hacemos “click” en “Configure
Networking” dentro del primer apartado: “Provide Computer Information“.
Si no nos sale esta ventana al inicio, podemos abrirla mediante la consola de comandos y utilizar el comando:
oobe.exe.
Seleccinamos “Local Area Connection” y en la barra de herramientas elegimos “change settings of this
connection“.
Permitimos, permitimos…
A continuacon vemos la ventana de “Local Area Connection Propieties“. Vamos, las propiedades de la
configuracion de la conexion de red de area local, para entendernos.
Nos posicionamos en “Internet Protocol Version 4 (TCP/IPv4)” y volvemos pulsamos el boton de “propieties“.
Vale, como nosotros estamos configurando el servidor para hacer pruebas, no lo vamos a configurar ni en una
red empresarial ni por dchp ni nada de eso. Os recuerdo que la red que estamos montando es privada, solo se
veran entre los equipos que utilizaremos de pruebas.
A continucion podeis ver la configuracion manual que le he puesto yo, si quereis utilizar otra que os guste mas,
adelante…
Al pulsar en “Ok“, vemos el resultado en la pantalla de “Initial Configuration Tasks“, en el apartado de
Networking. Ahora aparecera configurada.
Como siempre, cuando hacemos un cambio en la configuracion de Windows que es un poco importante, nos
pedira que reiniciemos el equipo. Pues lo hacemos y punto.
Cuando volvemos a iniciar el servidor y por lo que sea no tenemos disponible la ventana “Initial configuration
Tasks” (seguramente hayamos activado “do not show this windows at logon“) podemos sacarla desde la consola
de comandos utilizando “Oobe.exe”.
Ya tenemos configurada la red.
Acordaos de la configuracion que hemos utilizado por que en proximos articulos utilizaremos esta configuracion
para que otros equipos que instalemos, vean a este como servidor de dominio. Pero eso ya es otra historia…
¿que no?
A continuacion tenemos una lista de los roles que le podemos añadir al servidor.
Activamos la casilla de “Active Directory Domain Services”.
Volvemos al “Server Manager” y ahora podemos ver que hay un Rol instalado.
En la parte izquierda, expandimos “Roles” y seleccionamos “Active Directory Domain Services” para que nos
muestre las caracteristicas del mismo:
Vale, pues ya tenemos instalados los Servicios de Dominio del Directorio Activo.
El proximo paso sera promocionar nuestro servidor a servidor de dominio.
En un momento, pulso “control + alt + suprimir” para que me muestre la siguiente pantalla:
Selecciono “change a password…”.
Le he introducido una contraseña que le gusta.
Seguimos donde lo dejamos y ahora nos pide que introduzcamos en nombre del nuevo dominio.
Se toma su tiempo…
Ahora nos pide que seleccionemos el nivel de funcionalidad del bosque. Dado que nosotros solo tenemos un
servidor en windows 2008 y no tenemos pensado poner ningun controlador de dominio con una version anterior
a esta, seleccionamos “Windows Server 2008″.
Si no teneis claro esto de los niveles funcionales, podeis leer en un momento dado la descripcion que muestra en
cada seleccion que hagamos.
En la captura siguiente, vemos que automaticamente ha seleccionado la opcion “DNS server”. Esto quiere decir
que creara una infraestructura DNS.
La opcion de “Gobal Catalog” esta marcada pero no podemos desmarcarla, esto es por que el primer controlador
de dominio de un bosque tiene que tener instalado el Catalogo Global.
Ahora nos avisa de que el controlador tiene que tener asignada una IP estatica. Como nosotros ya se la pusimos
anteriomente en otro articulo no tenemos que hacer es seleccionar “Yes, the computer will use a dynamically
assigned IP address”.
A continuacion, nos pide que indiquemos la ubicacion de la Base de Datos de los ficheros log y de la pagina de
Sysvol. Aunque podriamos establecer otra ubicacion, de momento damos por buena la que nos sugiere por
defecto. En la practica, lo mejor seria poner cada una de estas en unidades serparadas.
Introducimos una buena contraseña para el los servicios de restauracion de los servicios de directorio activo.
Echamos un vistazo al resumen…
Se pone a trabajar…
Y ya esta, ya lo tenemos. ahora no pide que reiniciemos el servidor, pues lo hacemos sin rechistar.
En este articulo vamos a ver como podemos crear una MMC personalizada.
En primer lugar nos logeamos en el servidor como Administrador o Administrator (segun sea nuestro caso).
Menu inicio –> Start search –> escribimos: mmc.exe y pulsamos enter.
Al ejecutar el comando mm.exe se una MMC (Microsoft Management Console) vacia.
Ahora tenemos delante de nuestrar narices el cuadro de dialogo “Add or Remove Snap-ins“.
Pulsamos en el boton “OK” y nos muestra el componente que acabamos de añadir en la MMC. Extendemos el
arbol para ver mejor lo que hay por aqui…
Ahora escribimos cmd.exe en menu inicio -> Search box y pulsamos Enter.
regsrv32.exe schmmgmt.dll
Es comando lo que hace es registrar la susodicha dll para que tengamos disponible el componente (snap-in) del
Esquema del Directorio Activo (Active Directory Schema) para poder añadirlo a nuestra nueva MMC
personalizada.
Pulsamos en “Finish“.
Pulsamos el boton “OK” para cerrar el cuadro de dialogo “Add or Remove Snap-ins“.
Ahora que ya hemos terminado de configurar nuestra MMC, vamos a guardarla para tenerla disponible de ahora
en adelante.
En la parte de “Available Snap-ins” (a la izquierda), seleccionanamos “Event Viewer” y pulsamos en el boton “Add >” para añadirlo a
los que ya tenemos.
Tras pulsar el boton “Add >” nos mostrara el siguiente cuadro de dialogo. Si queremos ver el visor de sucesos del equipo local
seleccionamos “Local Computer” pero en nuestro caso seleccionamos “Another Computer” y le indicamos SERVER01.
Esto lo hacemos por el motivo que os comente en el articulo anterior. Puede que utilicemos esta MMC para compartirla y ejecutarla
desde otros equipos. De esta forma no hay duda de que estamos gestionando el visor de sucesos del servidor .
Pulsamos el boton “OK”.
En el articulo anterior vimos como añadir el componente “event viewer” a una MMC que ya teniamos creada y
guardada de otro articulo.
Bien, ahora vamos a ver como podemos gestionar estos complementos para tenerlos como a nosotros nos guste.
En la lista de Snap-ins disponibles (izquierda) seleccionamos “Event viewer” y pulsamos en el botón “Add >“.
El componente “Event Viewer” (visor de sucesos) se añadira a los que ya teniamos incluidos.
Con el cursos seleccionando el “Event Viewer“, pulsamos en el boton “Move Up“. Quedaria como se muestra en
la siguiente captura:
Ahora vamos a eliminar de la lista de “Selected items” el snap-in correspondiente al “Active Directory Schema“.
Para eso, seleccionamos en la lista de la derecha “Active Directory Schema…” y pulsamos en el boton “Remove“.
Las extensiones son complementos (snap-ins) que estan dentro de otros complementos para proveer
funcionalidades adicionales.
Por defecto la casilla “Always enable all available extentions” esta activada para que todas las extensiones esten
disponibles.
Nosotros vamos a seleccionar la opcion “enable only selected extensions” por que vamos a deseleccionar el
“event viewer” ya que lo tenemos como extension propia el la MMC.
Pues eso, quitamos la seleccion a la extension “event viewer” y pulsamos “Ok“.
Pulsamos de nuevo en “Ok“.
Y guardamos la MMC para usarla mas adelante…
Para ello, guardaremos la consola en modo usuario para que los usuarios no puedan añadir, borrar o modificar
los complementos (snap-ins).
Pulsamos “Ok“.
Guardamos la MMC.
Y salimos.
Si abrimos la MMC con doble click en ella y abrimos el menu File, podemos ver que faltan muchas opciones que
antes teniamos disponibles. Esto es por que en modo usuario no podemos modificar la MMC.
Ahora hacemos “click” con el boton derecho en la MMC y seleccionamos “Author“.
Ahora si volvemos a abrir el menu File, vemos que disponemos de todas las opciones de este menu y podriamos
modificar la MMC sin restricciones.
Ahora que tenemos configurada nuestra MMC y guardada en modo usuario, podemos hubicarla en un
emplazamiento en la red para que sea compartida y ejecutada por todos los administradores.
Bueno, en primer lugar nos cercioramos de que estemos logeados en el servidor como administrador, si no es
asi, cerramos sesion y nos logeamos como tal.
Abrimos el complemento “Active Directory Users and Computers“. Como ya tenemos creada nuestra MMC con
este complemento de articulos anteriores, la abrimos y nos posicionamos en dicho complemento.
Ahora repetimos el proceso para crear las OUs: “clientes“, “grupos“, “administradores” y “servidores“.
Pulsamos en “Next”.
Y ahora en “Finish”.
Una vez creado el usuario, lo seleccionamos. Pulsamos el boton derecho del raton y seleccionamos “Properties”.
En este cuadro de dialogo podemos modificar y/o añadir otras propiedades de la cuenta de usuario.
Ahora que ya tenemos el usuario “Dani Gonzalez” creado, para practicar un poco mas, podemos crear los
suguientes usuarios:
Oscar Abad (oabad) – Aqui creamos una cuenta con nuestro nombre, cada uno con el suyo.
Repetimos los pasos que hemos realizado antes para crar estas cuentas.
Ahora nos posicionamos en la OU “administradores” para crear una cuenta propia con permisos administrativos.
Es una buena practica activar esta casilla, pero tambien depende de la polica que tengamos en nuestra empresa
o entorno ya que posiblemente tengamos establecidas unas constraseñas “estandar” para los usuarios
dependiendo del cargo que ocupen o el departamento en el que trabajen. Esto a vuestra eleccion.
Pusar en “Next”.
Ahora en “Finish”.
Bueno, con esto hemos aprendido a crear cuentas de usuario. Claro esta que hay muchas propiedades que no
hemos visto pero que podemos utilizar.
APP_office_2007
jefes administracion
ventas
administradores windows
help desk
Pues ya esta. Ya hemos creado unos cuantos grupos para poder practicarnos en el articulo siguiente.
Acordaos de que debemos estar logueados con un usuario que tenga permisos de administrador.
Establecemos los valores que veis en la captura siguiente. Pero no cambieis el nombre que figura en “Computer
name (pre-windows 2000)“.
Le echamos un vistazo la las diferentes propiedades que tiene una cuenta de equipo pero por ahora no nos hace
falta modificar nada.
Pulsamos en el boton “Ok“.
Para practicar un poco mas con esto, creamos las cuentas de equipo para los siguiente servidores:
Sharepoint02
Exchange03
Como es costumbre, nos logeamos en el servidor con una cuenta con permisos de administrador.
A continuacion volvemos a pulsar el boton “Ok” para cerrar las propiedades de esta cuenta de usuario.
Lo que hemos hecho es añadir al usuario “oscar_admin” (cada uno el vuestro) al grupo de administradores del
dominio. ¿lo veis?
Ahora seleccionamos el grupo “help desk” en la misma Unidad Organizativa y abrimos las propiedades de este
grupo.
En el caso de los grupos de usuarios, ya sabremos que son contenedores de cuentas de usuario, ¿no? Ah! por si
acaso.
Ahora lo que vamos a hacer es agregar al usuario “sara” a este grupo. Para ello, pulsamos en el boton “Add…“.
Vale, ahora escribimos el nombre del usuario a añadir, en este caso “sara” y pulsamos sobre el boton “Check
Names“.
Os acordareis que creamos dos usuarios que se llaman Sara. Uno es Sara Garcia y el otro Sara Gomez. Puesto
que el comienzo del nombre de usuario de los dos coincide con lo que hemos escrito, nos muestra las
posibilidades que tenemos:
Hemos seleccionado el usuario “sara gomez” y pulsado en “OK“.
En el siguiente cuadro de dialogo ya nos muestra el usuario que hemos seleccionado. Pulsamos “Ok“.
“Ok” y listo.
Ahora seleccionamos el grupo “APP_office 2007” y abrimos sus propiedades.
Como somos unos fenomenos, no hemos cambiado los tipos de objetos en los que centrara su busqueda y nos
intenta buscar en “users, groups, or other objects“. Por eso el mensaje siguiente:
Pulsamos en “Cancel” para volver al cuadro de dialogo anterior.
Ahora si, pulsamos en el boton “Object Types…” para seleccionar los tipos de objetos.
Pulsamos en “OK“.
Volvemos a pulsar en “Check Names“.
Pulsamos en “OK”
En la captura siguiente nos hemos posicionado en el Dominio. Vale, si os fijais, he resaltado el icono de
busqueda. Lo pulsamos.
Al pulsar el boton de busqueda nos aparecera una pantalla como la siguiente:
Nos aseguraremos que en la Lista desplegable tenemos seleccionados los tipos de objetos que queremos buscar,
en esta caso: “usuarios y grupos“.
Posteriormente tambien nos aseguraremos que tenemos seleccionado el dominio “contoso.com” que es donde
vamos a realizar la busqueda.
Bien, ahora en el campo Name, introducimos “sara” para buscar todos los usuarios o grupos que coincidan con
este nombre, por lo menos en parte.
Si os fijais, hay un icono en la barra de herramientas “Search Active Directory”. Pulsamos sobre el…
Ahora lo que hacemos es definir la buqueda que nos interesa. En nuestro caso, seleccionamos solo el valor “has a
value” en el campo “Name“. Pulsamos “Ok“.
Nos devuelve a la ventana anterior pero esta vez, si nos fijamos, ha creado una cadena que es la busqueda que
vamos a realizar.
Al cerrar el cuadro de dialogo, nos posicionamos en “usuarios” dentro de “saved queries” y vemos que en la
parte de la derecha nos muestra el resultado de esa busqueda que hemos definido. Estas busquedas estaran
guardadas y las podremos consultar cuando nos parezca.
Para poder ver mas caracteristicas en forma de columnas, seleccionamos el menu view –> Add/Remove
Columns…
Comprobamos el resultado:
Por ejemplo, puede que tengamos un grupo “help desk” que queramos que tenga permisos para resetear las
contraseñas de los usuarios e incluso que puedan configurar una cuenta de usuario para que les pida la
contraseña la proxima vez que inician.
Para ello, en primer lugar, abrimos “Active Directory users and Computers” como administrador.
Ahora expandimos el nodo del dominio y hacemos “doble-click” en la unidad organizativa “gente”.
Nos ha detectado un grupo con ese nombre. Pulsamos “Ok” para confirmar.
En la captura anterior podemos ver que se a añadido el grupo que hemos indicado. Podemos borrarlo o añadir
algun grupo mas. Nosotros estamos de acuerdo y pulsamos “next”.
En la siguiente captura seleccionamos “Reset user passwords and force passwords change at next logon”. Que es
lo queriamos.
Tras pulsar en “Next” nos aparecera la ultima pantalla en la que confirmaremos fulsando “Finish”.
Sencillo, ¿verdad
Windows Server 2008 – Añadir usuarios y
equipos a los grupos
Ahora que ya tenemos creados los grupos podemos añadir objetos como miembros de los grupos.
Como es costumbre, nos logeamos en el servidor con una cuenta con permisos de administrador.
A continuacion volvemos a pulsar el boton “Ok” para cerrar las propiedades de esta cuenta de usuario.
Lo que hemos hecho es añadir al usuario “oscar_admin” (cada uno el vuestro) al grupo de administradores del
dominio. ¿lo veis?
Ahora seleccionamos el grupo “help desk” en la misma Unidad Organizativa y abrimos las propiedades de este
grupo.
En el caso de los grupos de usuarios, ya sabremos que son contenedores de cuentas de usuario, ¿no? Ah! por si
acaso.
Ahora lo que vamos a hacer es agregar al usuario “sara” a este grupo. Para ello, pulsamos en el boton “Add…“.
Vale, ahora escribimos el nombre del usuario a añadir, en este caso “sara” y pulsamos sobre el boton “Check
Names“.
Os acordareis que creamos dos usuarios que se llaman Sara. Uno es Sara Garcia y el otro Sara Gomez. Puesto
que el comienzo del nombre de usuario de los dos coincide con lo que hemos escrito, nos muestra las
posibilidades que tenemos:
Hemos seleccionado el usuario “sara gomez” y pulsado en “OK“.
En el siguiente cuadro de dialogo ya nos muestra el usuario que hemos seleccionado. Pulsamos “Ok“.
“Ok” y listo.
Ahora seleccionamos el grupo “APP_office 2007” y abrimos sus propiedades.
Como somos unos fenomenos, no hemos cambiado los tipos de objetos en los que centrara su busqueda y nos
intenta buscar en “users, groups, or other objects“. Por eso el mensaje siguiente:
Pulsamos en “Cancel” para volver al cuadro de dialogo anterior.
Ahora si, pulsamos en el boton “Object Types…” para seleccionar los tipos de objetos.
Pulsamos en “OK“.
Volvemos a pulsar en “Check Names“.
Pulsamos en “OK”
En este tutorial vamos a crear dos cuentas de equipo. Un equipo de sobremesa al que llamaremos
“sobremesa01” y un servidor al que llamaremos “aicsrv05“.
Una vez seleccionada esta OU, pulsamos sobre el botón derecho del ratón –> New –> Computer:
En la casilla “Computer name“: Introducimos el nombre del equipo, que en este caso será “sobremesa01“.
Al hacer esto, se rellenará automáticamente la casilla “Conputer name (pre-windows 2000)” con el mismo
nombre. Es aconsejable que los dos nombres sean iguales.
Escribimos informática para que el grupo “informática” puedan meter este equipo en el dominio.
Bien, hemos visto como crear cuentas de equipo en sus correspondientes OUs
En este caso lo que vamos a hacer es añadir una configuración de seguridad mas, por consiguiente, pulsamos en el botón “Add…“.
El siguiente cuadro de diálogo ya estamos acostumbrados a verlo y sabemos como funciona.
En la captura siguiente, fijaos que en el apartado “Apply to:” está seleccionada la opción “This object and all descendant objects“. Creo
que ya sabemos lo que quiere decir, ¿no?
También he seleccionado la opción “Allow” del permiso “Create Computer objects“, que es lo queríamos.
Al pulsar en OK, ya vemos que el grupo informática ha sido añadido en el apartado “Group or user names:” que son los grupos o
usuarios que tienen algún permiso configurado para esa Unidad Organizativa.
Windows Server 2008 – Meter un equipo (XP)
en el dominio
Esta tarea, podríamos decir que no es propia de Windows Server 2008, pero claro, debemos tener alguna
experiencia en ella y creo que no está de mas que lo veamos con un ejemplo.
Si recordáis, el tutoriales anteriores creamos una cuenta de equipo con el nombre de “sobremesa01” y la
ubicamos dentro de la Unidad Organizativa “administracion” que a su vez está dentro de “equipos“.
Pues vamos a ver un ejemplo de un equipo o máquina virtual en Windows XP y cómo meterna en el dominio.
Partimos de que ya tenemos instalado el equipo con Windows XP y hacemos logon en el con la cuenta de
adminsitrador del equipo. En mi caso, la cuenta de administrador en el equipo es “administrador“.
Aunque hay varias formas de llegar al mismo sitio, he preferido mostraros la forma mas larga y con el aspecto
nuevo de Windows XP aunque yo siempre le pongo el aspecto clásico. Pero bueno, es para que lo veamos.
Rendimiento y mantenimiento.
Sistema.
No mostrará la siguiente pantalla para que intoduzcamos una cuenta con privilegios para meter al equipo en el
dominio. Yo he usado la de “administrator” y su respectiva contraseña.
Nos vuelve a recordar que debemos reiniciar para que los cambios tengan efecto.
Pulsamos en “Si“.
La primera y mas sencilla es a través del “snap-in” de “Active Directory Users and Computers“.
Pongamos que queremos mover el equipo “sobremesa11” que está en la OU “informatica” de “equipos” a la OU
“desarrollo“.
Abrimos “Active Directory Users and Computers” y nos posicionamos en la OU “informatica” de “equipos“.
Seleccionamos la cuenta de equipo “sobremesa11“. Pulsamos el botón derecho del ratón y seleccionamos
“Move“:
Pulsamos “OK”
Comprobamos que el equipo “sobremesa11” ya no está en la OU “informatica“:
Seguramente, lo que hacemos es eliminar la cuenta del equipo y la volvemos a crear. Esto es totalmente
desaconsejable puesto que al eliminar una cuenta de equipo se elimina el SID y todos los permisos asociados a la
cuenta.
Pero bueno, supongamos que tenemos que cambiarle nombre al equipo “sobremesa01″.
Yo os comento dos opciones.
Abrimos las propiedades del sistemas desde panel de control y nos posicionamos en la pestaña “Nombre de
equipo”.
A continuación nos pedirá un nombre de usuario y contraseña con permisos para realizar esta tarea.
Tras esto nos notificará que es necesario reiniciar para que los cambios tengan efecto.
Reiniciamos y listo.
Abrimos “Active Directory Users and Computers” y seleccionamos el equipo que queremos deshabilitar.
Si os fijais, el aspecto del icono de la cuenta de equipo ha cambiado. Ahora tiene una flecha hacia abajo.
Para habilitar la cuenta, el proceso es idéntico pero escogiendo la opción “Enable Account“.
Windows Server 2008 – Eliminar cuentas de
equipo
Ya sabemos lo peligroso que es eliminar una cuenta de equipo, pero para cuando estemos totalmente seguros
deberemos abrir “Active Directory Users and Computers“, posicionarnos en la cuenta que queremos eliminar,
botón derecho del ratón y seleccionar “Delete“.
Como siempre, nos muestra un mensaje de advertencia al que responderemos pulsado “Yes” si estamos
convencidos.
En este primer articulo sobre GPOs vamos a ver como ser crea un Objeto de Politica de Grupo y para ello, en
primer lugar debemos acceder al sevidor como administrador y ejecutar “Group Policy Management“, como se
puede ver en la imagen siguiente:
Nos aparece el “Group Policy Management” o “Gestor de Politicas de Grupo” para que nos entendamos mejor.
Si nos posicionamos o abrimos el arbol al nivel de dominio “neointec.local” podemos observar que la estructura
se compone, entre otras cosas, de Unidades Organizativas.
Recordad que en las Unidades Organizativas metiamos cuentas de usuario o cuentas de equipo. Aunque tambien
podemos incluir grupos globales, las GPOs solo se pueden asignar por equipo o por usuario. Por supuesto hay
maneras de realizar filtros que ya veremos mas adelante.
A continuación nos posicionamos en “Goup Policy Objects” que, como ya abremos adivinado, contiene todas las
GPOs que existen en el dominio “Neointec.local“.
Hemos creado una nueva GPO pero está vacía, o mejor dicho, tiene todas las configuraciones por defecto. Ahora
tenemos que editarla para cambiar alguna configuracion que quereamos.
Soy por supuesto que ya conoceis un poco la estructura pero os indico que en 2008 disponemos ahora del
apartado “Preferences” tanto en la configuracion de usuario como de equipo.
Antes de nada, vamos a explicar un poco para que va a servir esta GPO. Para ello nos posicionamos en la parte
izquierda de la pantalla sobre la raiz de la politica, pulsamos boton derecho y seleccionamos “Properties“.
Seleccionamos la pestaña “Comment“.
Nos posicionamos en “Windows firewall with advanced security” como se puede ver en la imagen siguiente:
Pulsamos sobre el enlace “Windows Firewall Properties” y nos aparecera algo parecido a lo siguiente:
Observamos que el Firewall está activado.
Bueno, pues como nosotros queremos que el firewall esté desactivado para todos los equipos que estan dentro
del dominio, seleccionamos la opcion “Off” del menu desplegable y pulsamos “Ok“.
Al cerrar la pantalla anterior con “Ok“, volvemos a ver los detalles de configuracion del Firewall que habiamos
visto antes, pero en este caso ya podemos ver que el firewall esta configurado como apagado.
En nuestro caso queremos que se aplique a todos y cada uno de los equipos que tenemos en el dominio, por
consiguiente seleccionamos el dominio “Neointec.local”, pulsamos el boton derecho del raton y seleccinamos
“Link and Existing GPO…”.
Tras realizar el proceso anterior, nos muestra todas las GPOs que tenemos para que seleccionemos una de ellas.
Y en la parte inferior de la parte derecha observamos que esta aplicada a todos los usuarios autentificados.
Con esto conseguimos que todos y cada uno de los equipos que entren en el dominio “Neointec.local”, tengan el
Firewall apagado o desconectado.
No tenemos que ir uno por uno, realizando esta tarea en todos los equipos.
Como habreis podido ver, el uso de GPOs tiene una potencia inmensa y es de una utilidad impresionante y casi
diria que imprescindible en toda empresa.
Bien, ahora vamos a comprobar que se aplica a todos los equipos del dominio.
Podemos reiniciar el servidor o equipo para que se aplique la nueva configuracion de politicas, pero tambien
podemos ejecutar el siguiente comando para no tener que reiniciar el equipo:
Una vez ejecutado el comando anterior, abrimos la configuracion del Firewall desde el panel de control -> Check
Firewall Status y comprobarmos en la pantalla siguiente que el firewall a nivel de dominio esta apagado. Es mas,
podeis percataros de que incluso esta deshabilitado el posible cambio en ese apartado.
Esto quiere decir que lo hemos establecido por GPOs y que no podemos modificarlo desde aqui.
Algo sencillo pero imprescindible antes de aplicar una nueva GPO a todo el dominio o a una OU es realizar la
prueba en un dominio de prueba. Tambien podemos tener una Unidad Organizativa, equipos y usuarios que no
existen fisicamente para realizar estas tareas de pruebas antes de aplicarlas en produccion.
Para empezar, seleccionamos una GPO. Por ejemplo la que creamos el otro dia: “Neointec base”.
En la imagen siguiente, en la parte derecha de la ventas he resaltado algunos apartados que debemos conocer.
Es el caso de la la pestaña “Scope” o “ambito” para nosotros. En esta pestaña tenemos la opcion de “Links” que
se refiere a los lugares a los que esta enlazada esta GPO.
Mas abajo esta el apartado “Security Filtering” donde se definen los usuarios o grupos a los que se les va a
aplicar la GPO. En este caso vemos que se aplicara a los “Usuarios Autentificados” en el dominio.
En la pestaña “Settings” podemos ver un resumen de las politicas que estan configuradas.
Ahora, nos fijamos en el identificador unico “Unique ID” y exploramos en el disco del servidor a el directorio que
se observa en la siguiente imagen:
Exacto. Existe una carpeta cuyo nombre coincide con el identificador de la GPO.
Esto ocurre con todas las GPOs. Ya hablaremos mas sobre esto en proximos articulos.
Si accedemos a dicha carpeta podemos ver los ficheros que componen la configuracion de esta GPO:
En “User Configuration” –> “Administrative Templates“, vemos que al final de esta linea nos indica que las GPOs
estan almacenadas en “local machine“.
Ahora pegamos lo que hemos copiado en el directorio que habiamos creado antes dentro de “sysvol”:
Comprobamos de nuevo el el Editor de Politicas de Grupo que ahora se almacenan las politicas un un repositorio
central (central store).
Una vez hecho esto, vemos que la gpo “Neointec base” aparece enlazada a la OU “administracion“.
Y en las propiedades de la GPO, dentro de la seccion “links” de la pestaña “scope“, aparecen ahora dos ubicaciones: “administracion” y
“neointec.local“.
Para empezar, en la imagen siguiente podemos ver los dos enlaces de la GPO “Neointec base” en las OUs de “administracion” e
“informatica“, ambas bajo la OU “equipos“.
Suponed que queremos deshabilitar, que no borrar, el enlace de esta GPO a la OU “administracion“. Bien, para ello seleccionamos el
enlace en cuestion, pulsamos boton derecho y seleccionamos “Link Enabled”. Como estaba habilitado, al seleccionarlo de nuevo, se
deshabilita.
Sabemos que un enlace esta deshabiliado o no enlazado porque el icono aparece mas tenue, como en la siguiente imagen.
Y si volvemos a pulsar boton derecho sobre dicho enlace comprobamos que ya no aparece el simbolo que aparecia antes indicando que
el enlace estaba habilitado.
Ahora, para eliminar un enlace de GPO, seleccionamos el enlace que queremos eliminar, pulsamos boton derecho del raton y
seleccionamos “Delete“.
Nos preguntara si estamos seguros de la operacion que vamos a realizar y pulsamos “OK“.
Espero que os vayais poniendo al dia con las politicas de grupo porque es una herramienta muy util para todo administrador de
sistemas.
Windows Server 2008 – Configurar la politica
de seguridad local
Ahora toca ver algo sobre seguridad de nuestros servidores dcs y las politicas locales.
En este tutorial usaremos la politica de seguridad local para permitir que un grupo de usuarios tengan acceso al
controlador de dominio mediente escritorio remoto.
Para ello utilizaremos el grupo “soporte” que creamos hace poco en otro tutorial.
Expandimos el arbol por “Security Settings –> Local Policies –> User Rights Assigment“.
No posicionamos en la politica “Allow log on though Remote Desktop Services” y nos fijamos en en la Columna
“Security Settings” aparece solo “Administrators“
Hacemos doble-click sobre esa politica y aparece el cuadro de dialogo siguiente:
Ahora, en el cuadro de dialogo siguiente observamos que tambien aparece el grupo “NEOINTEC\soporte“.
Tras pulsar “OK” ya tenemos hecho lo que queríamos.
Pero como en el siguiente tutorial vamos a hacer lo mismo de otra forma o con otra herramienta, volvemos a
hacer doble click y eliminamos el grupo “NEOINTEC\soporte” que acabamos de añadir.
Obeservamos que solo aparece “Administrators“.